El FBI ha lanzado una alerta pública sobre Kali365, una plataforma de phishing-as-a-service que está siendo utilizada para robar tokens OAuth de Microsoft 365 y acceder a cuentas corporativas sin necesidad de conocer la contraseña de la víctima. La amenaza preocupa especialmente porque permite a los atacantes eludir la autenticación multifactor y tomar el control de servicios como Outlook, Teams, SharePoint o OneDrive.
Según la advertencia del FBI, Kali365 fue detectado por primera vez en abril de 2026 y se distribuye a través de Telegram como un servicio criminal listo para usar. La plataforma reduce la barrera de entrada para atacantes con menor perfil técnico, ya que ofrece señuelos de phishing generados con inteligencia artificial, plantillas automatizadas de campaña, paneles de seguimiento en tiempo real y capacidades específicas para capturar tokens de acceso.
Un ataque que no necesita robar contraseñas
El principal riesgo de Kali365 está en que no se limita al phishing tradicional. En lugar de engañar al usuario para que introduzca su contraseña en una página falsa, una de sus técnicas abusa del flujo de código de dispositivo de Microsoft OAuth.
El procedimiento es aparentemente sencillo. La víctima recibe un correo que suplanta a servicios de productividad o intercambio de documentos en la nube, como Adobe Acrobat Sign, DocuSign o SharePoint. En ese mensaje aparece un código de dispositivo y unas instrucciones para introducirlo en una página legítima de Microsoft. Arctic Wolf, que analizó la campaña en abril, señala que Kali365 ha sido utilizado en ataques de device code phishing a gran escala.
El problema es que, al introducir ese código en el sitio real de Microsoft, la víctima puede estar autorizando sin saberlo el dispositivo del atacante. Desde ese momento, el ciberdelincuente obtiene acceso a la cuenta de Microsoft 365 y puede consultar correos, chats de Teams, documentos compartidos y otros recursos corporativos. Para el usuario, la operación puede parecer un proceso legítimo de autenticación; para la organización, supone una intrusión difícil de detectar.
La MFA deja de ser suficiente
La autenticación multifactor sigue siendo una medida esencial, pero este tipo de ataques demuestra que no es infalible. Kali365 no necesita interceptar directamente la contraseña ni romper el segundo factor. Abusa de flujos legítimos de autenticación para obtener tokens válidos que permiten entrar en la cuenta como si el acceso hubiera sido autorizado correctamente.
Además del phishing con código de dispositivo, Arctic Wolf ha documentado capacidades de adversary-in-the-middle en Kali365. En este escenario, la víctima recibe un correo con un señuelo basado en cookies y es redirigida a través de infraestructura controlada por los atacantes. El usuario termina autenticándose en una página real de Microsoft y supera la MFA, pero durante el proceso se capturan cookies de sesión y otros artefactos que después pueden ser reutilizados por los atacantes.
El resultado es el mismo: acceso a cuentas de Microsoft 365 sin que el atacante tenga que conocer necesariamente las credenciales. Esta técnica puede abrir la puerta a espionaje corporativo, robo de datos, fraude financiero, movimiento lateral dentro de la organización e incluso campañas de ransomware.
Un servicio criminal por suscripción
Kali365 funciona como un producto comercial dentro del ecosistema del cibercrimen. Según los análisis publicados, dispone de varios niveles de acceso para suscriptores. El nivel más bajo está orientado a atacantes individuales; otro permite a revendedores gestionar sus propios paneles; y el nivel superior queda reservado para los desarrolladores de la plataforma.
El precio también refleja su orientación profesionalizada: unos 250 dólares mensuales por inquilino o 2.000 dólares al año. Además, la plataforma soporta múltiples idiomas, entre ellos español, inglés, francés, alemán, portugués, ruso, chino, japonés, árabe o turco, lo que facilita su uso en campañas internacionales.
Desde su aparición, Kali365 ha sido comparado con EvilTokens, otra plataforma centrada en ataques de device code phishing. Microsoft ya había advertido en abril sobre campañas que abusaban del flujo de autenticación por código de dispositivo y que utilizaban tácticas apoyadas por inteligencia artificial para aumentar la eficacia de los señuelos
